Zum Hauptinhalt springen

OpenBao-Zugriff

VaultPAM nutzt OpenBao (den Open-Source-Fork von HashiCorp Vault) als zugrunde liegende Secrets-Engine. Dieser Artikel erklärt, was OpenBao ist, wie VaultPAM es einsetzt und wann On-Premises-Administratoren gegebenenfalls direkt damit interagieren müssen.

Was OpenBao ist

OpenBao ist eine Open-Source-Plattform für die Verwaltung von Secrets. VaultPAM verwendet sie, um alle privilegierten Anmeldeinformationen (Passwörter, SSH-Schlüssel, API-Token) in einem sicheren, prüfbaren Backend zu verschlüsseln und zu speichern.

Im normalen Betrieb interagieren Sie niemals direkt mit OpenBao. VaultPAM bietet eine Abstraktion auf Konsolenebene: Sie verwalten Safes und Anmeldeinformationen über die Benutzeroberfläche, und VaultPAM kommuniziert in Ihrem Namen mit OpenBao.

Wie VaultPAM OpenBao nutzt

  • SaaS-Bereitstellungen: OpenBao wird vollständig von der VaultPAM-Plattform verwaltet. Sie haben keinen direkten Zugriff darauf.
  • On-Premises-Bereitstellungen: OpenBao läuft als Teil Ihres Bereitstellungs-Stacks. Es wird vom VaultPAM-Installer automatisch initialisiert und entsiegelt. Unter normalen Umständen müssen Sie nicht direkt damit interagieren.

Wann Sie direkt mit OpenBao interagieren würden

On-Premises-Administratoren müssen in fortgeschrittenen Szenarien möglicherweise direkt auf OpenBao zugreifen:

  • Wiederherstellung nach einem Notfall: wenn die VaultPAM-Control-Plane ausfällt und Sie Roh-Secrets abrufen müssen
  • Schlüsselrotation: Rotation des OpenBao-Root- oder Transit-Schlüssels im Rahmen eines Sicherheitsaudits
  • Debugging: Diagnose eines Problems auf der Ebene der Anmeldeinformationen unter Anleitung des VaultPAM-Supports

Bevor Sie direkt auf OpenBao zugreifen, wenden Sie sich an support@vaultpam.com, um das Verfahren zu bestätigen und Datenverlust zu vermeiden.

Direkter OpenBao-Zugriff umgeht die VaultPAM-Audit-Protokollierung

Jede Aktion, die direkt gegen die OpenBao-API ausgeführt wird – das Lesen, Schreiben oder Löschen von Secrets – umgeht den Prüfpfad von VaultPAM. Das bedeutet, dass diese Aktionen nicht im VaultPAM-Prüfprotokoll erfasst werden und keinem VaultPAM-Benutzer zugeordnet werden können.

Verwenden Sie für privilegierten Zugriff stets die Benutzeroberfläche von VaultPAM. Behalten Sie den direkten OpenBao-Zugriff ausschließlich der Notfallwiederherstellung vor.

OpenBao-Daten und Backups

OpenBao-Daten sind im standardmäßigen VaultPAM-Backup enthalten. Bei SaaS erfolgt dies automatisch. Bei On-Premises deckt das PostgreSQL-Backup das OpenBao-Speicher-Backend ab. Weitere Informationen finden Sie unter Backup und Wiederherstellung.

Verwandte Artikel